Skip to main content

Centric, PinkRoccade en de bewerkersovereenkomst

| IB&P | ,

Een bewerkersovereenkomst (BWO). Ook wel de schriftelijke overeenkomst tussen de verantwoordelijke en de bewerker, waarin afspraken worden vastgelegd over hoe de bewerker met de persoonsgegevens van de verantwoordelijke dient om te gaan. De bewerkersovereenkomst vormt een belangrijk onderdeel binnen de informatiebeveiliging van de gemeente. Maar wat moet er in deze overeenkomst staan? Vanuit de Baseline Informatiebeveiliging Gemeenten (BIG),

is het de wens om concreet te specificeren welke maatregelen de bewerker dient te implementeren/na te leven op het gebied van informatiebeveiliging. In de praktijk zijn er echter verschillende varianten uitgewerkt. Zo hebben Centric en PinkRoccade in overleg met de gebruikersverenigingen en de IBD beide een format opgesteld en heeft de IBD zelf ook een BWO opgesteld. Maar welke variant is nu het meest geschikt?

Uitgangspunten

Om de veilige verwerking van persoonsgegevens te waarborgen dienen de verantwoordelijke en de bewerker duidelijke afspraken te maken wat betreft de taken en de verplichtingen van de bewerker richting de verantwoordelijke. De manier waarop dit wordt afgesproken staat niet vast, maar er is wel in de Wet bescherming persoonsgegevens beschreven wat er minimaal in de bewerkersovereenkomst dient te staan. De IBD heeft onlangs een interne notitie geschreven, waarin zij adviseert om in ieder geval afspraken te maken over de volgende zaken:

  1. De waarborgen die de leverancier biedt ten aanzien van technische en organisatorische maatregelen en de manier waarop de gemeente dit kan controleren.
  2. De wijze waarop de gemeente wordt geïnformeerd bij een beveiligingsincident.
  3. De aansprakelijkheid bij schade doordat in strijd met de wet wordt gehandeld.
  4. De mate waarin de dienstverlening voldoet aan de wettelijke eisen.

Punt drie en vier worden doorgaans goed beschreven in de verschillende BWO’s. De eerste twee punten worden daarentegen nogal verschillend verwoord als je kijkt naar de drie formats van de IBD, Centric en PinkRoccade.

Zoek de verschillen

Het grootste verschil tussen de BWO’s zit in de mate van detail. De IBD heeft een model opgesteld dat erg volledig en uitgebreid is. Zo zijn onder andere alle relevante BIG-maatregelen opgenomen in de bijlage. Zoals de IBD ook aangeeft is dit uiteraard het ‘ideaalplaatje’. Kortom wil je het maximale eruit halen dan kun je al deze maatregelen hanteren, maar je hebt als gemeente ook alle ruimte om hiervan af te wijken, mits je maar voldoet aan de minimale eisen, namelijk bovenstaande vier punten. De formats van Centric en PinkRoccade zijn daarentegen een stuk minder uitgebreid. Zo wordt in de BWO van Centric niet nader toegelicht wat er wordt bedoeld met ‘passende technische en organisatorische maatregelen’. Tevens wordt de wijze waarop de gemeente dient te worden geïnformeerd bij een beveiligingsincident per BWO verschillend beschreven.

In alle drie de formats staat dat de bewerker de verantwoordelijke moet informeren over beveiligingsincidenten en (mogelijke) datalekken. Echter wordt alleen in het format van de IBD beschreven dat dit binnen 24 uur na de eerste ontdekking dient te gebeuren. Hiernaast beschrijft de IBD dat de bewerker een gedetailleerd logboek moet bijhouden van alle inbreuken op de beveiliging. Evenals de maatregelen die in het vervolg op dergelijke inbreuken zijn genomen, waar bewerker op het eerste verzoek van de verantwoordelijke inzage in geeft. Dit staat niet in de andere twee formats opgenomen.

Tot slot beschrijven Centric en PinkRoccade enkel dat de partijen elkaar volledige medewerking dienen te verlenen bij een noodzakelijke melding richting de Autoriteit Persoonsgegevens (AP) en indien nodig aan de betrokkenen. De IBD gaat hier nog dieper op in en vermeld dat dit op zo kort mogelijke termijn dient te gebeuren.  Zijn er overeenkomsten te vinden in de verschillende formats? Jazeker. In alle overeenkomsten staat vermeld dat de bewerker het ‘doen van meldingen aan de toezichthouder(s)’ overlaat aan de verantwoordelijke.

Assurance en certificering

Tot slot, is het belangrijk dat in de BWO certificering en assurance is opgenomen. Certificering betreft het door een onafhankelijke, geaccrediteerde partij laten vaststellen of het managementsysteem van de betreffende organisatie voldoet aan alle eisen op een bepaald gebied. Een voorbeeld hiervan is de ISO27001. Het doel van assurance is om derde partijen, die vertrouwen op een dienst of product, de zekerheid te bieden dat die voldoet aan een overeengekomen normenkader. In dit geval is dat normenkader de BIG. De BWO van de IBD is daarin dus wel compleet (zie bijlage 2). Maar de vraag is of je als gemeente dit ‘ideaalplaatje’ wilt hanteren. Zoals de IBD zelf ook aangeeft kunnen de maatregelen uit de BIG ook worden aangepast.

Kortom; je moet als gemeente het lef hebben de bewerkersovereenkomst (IBD BWO) naar eigen smaak, binnen de kaders van bovenstaande vier punten, aan te passen en daarbij het liefst te differentiëren tussen verschillende typen bewerkers.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Applicatiebeheer en de AVG: wat moet je weten?

Als applicatiebeheerder beheer je alle applicaties waarin persoonsgegevens worden verwerkt binnen de gemeente. Maar hoe zorg je dat deze applicaties voldoen aan de vereisten van de AVG?

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…